#http #access-token #rfc
Вопрос:
Я искал об этих вопросах здесь и там, но не смог найти четкого ответа, объясняющего мой вопрос.
По RFC 6750 access_token может быть отправлен с использованием основной части сообщения post. Интересно, почему в этих документах указаны ограничения, установленные Content-Type application/x-www-form-urlencoded . Существует ли какая-либо причина безопасности, по которой клиент не может использовать application/json тип при отправке токена доступа post в теле?
Ответ №1:
По крайней мере, 99% пользователей в наши дни отправляют токены доступа в заголовке авторизации, как в разделе 2.1 этого документа. Никто больше ничего не делает.
Имейте в виду, что документ датирован 2012 годом, и в те дни некоторым клиентам, например, браузерам или мобильным браузерам, могли потребоваться другие опции, но это уже не так.
Комментарии:
1. Спасибо, сэр. Интересно, почему в документах отмечено использование application / x-www-form-urlencoded, которое не является application / json